Worldcoin visitó Argentina: abrieron oficinas, auditaron el “orbe” que escanea el iris y se reunieron con el Gobierno
Dark News habló con Alex Blania, CEO de Tools for Humanity: lobby para pisar fuerte en América Latina tras las prohibiciones en Europa y pentest de una empresa argentina.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
26 abr>
3 may
⚡ TL;DR
Los principales directivos de Worldcoin, la empresa que se hizo famosa por escanear el iris de los ojos para obtener datos biométricos a cambio de una criptomoneda, desembarcaron esta semana por segunda vez en la Argentina y tuvieron reuniones con líderes del sector tech, el Gobierno y medios de comunicación.
Cuestionada por expertos en ciberseguridad y bloqueada en varios territorios, la empresa cofundada por Sam Altman (CEO de OpenIA, dueña de ChatGPT) propone ser un “pasaporte digital” que resuelva un problema que suena simple, pero es bastante complejo a nivel técnico: la identificación y la autenticación online, ese proceso que todavía queda atado a un usuario y una contraseña, que es uno de los principales vehículos de las ciberestafas en la actualidad.
Este protocolo es muy criticado en algunos países de Europa, donde las leyes de protecciones de datos personales son mucho más estrictas que en América Latina. A principios de marzo, la Agencia Española de Protección de Datos (AEPD), el ente que regula la privacidad de las personas, le ordenó el "cese de inmediato en la recopilación de datos personales en el territorio español". En Portugal -también enmarcado en la ley de protección de datos europea (GDPR)- y Kenia también enfrentaron suspensiones.
Por esto, Worldcoin se mueve hacia otros continentes para buscar adhesiones. Opera sin restricciones en la Argentina, donde hace ruido por las rápidas ganancias que les ofrece a sus usuarios. Y no es casual: se trata de uno de los territorios con mayor penetración, con un dato oficial de 500 mil escaneos y otro, por lo bajo, que ya supera el millón.
Por su accionar, a comienzos de este año, la Agencia de Acceso a la Información Pública (AAIP) inició en Argentina una investigación. Asociaciones que luchan por la protección de los datos y la privacidad online en Argentina, como Vía Libre y O.D.I.A. han planteado sus preocupaciones.
En el plan por expandir el escaneo de iris, el CEO de la compañía, Alex Blania, visitó esta semana la Argentina. Después de una gira asiática por Singapur, Malasia y Emiratos Árabes, desembarcó en el país y se reunió con Demian Reidel, exvicepresidente del Banco Central y actual Presidente del Consejo de Asesores Económicos de Javier Milei, en Palacio Duhau (en Avenida Alvear 1661, Ciudad de Buenos Aires). Además, visitó empresas y medios de comunicación, entre ellas, Clarín.
Por este motivo, tuve la oportunidad de entrevistarlo. Blania llegó acompañado de una comitiva y generó revuelo en la redacción: hombres de traje, asesores y tres autos con aspecto blindado en la puerta de Tacuarí al 1800 con guardaespaldas es algo que siempre se va a apoderar del radiopasillo, uno de los principales hobbies de los periodistas.
Después de reunirse con directivos del diario, accedió a sentarse a charlar y responder preguntas. Más abajo reproduzco la entrevista que publiqué, y hago una aclaración: los directivos de las empresas suelen tener respuestas predeterminadas (lo que solemos decir, “el casete”). El desafío periodístico, en este caso, no fue que “pisara un palito”, sino tratar de ir a fondo con su manera de pensar para entender, más allá de las polémicas, qué es lo que está en el núcleo de la empresa que se metió, a fin de cuentas, con un problema de época crucial: la identidad online, la autenticación y el eterno escollo de los bots en la era de la IA.
Fuera de esto, hubo algunos casos de ciberataques locales, con el ransomware como protagonista. Morón volvió a ser atacado por lo que sería la cepa de Trigona (me contacté con el Municipio y lo describieron como “un ataque de características similares” al que ocurrió a fines de marzo), el diario La Nación comunicó a sus lectores un ciberataque a fines de la semana pasada y apareció una filtración (rewash) del Banco Central de la República Argentina. Hubo algunas nuevas detecciones de suplantación de páginas web, una que apunta al Ministerio Público fiscal (Intel: @Merlax_)
A nivel global hubo un caso en particular que me parece interesante destacar: en Estados Unidos, UnitedHealth, una multinacional de servicios de salud, fue atacada con un ransomware. Hasta acá, como escuché alguna vez, ssdd (same shit, different day). Pero el caso dejó algunas apostillas.
En primer lugar, su CEO reconoció que los atacantes estuvieron durante 9 días en el sistema. En segundo término, que pagaron el ransom. Y, por último, el caso nos dejó la foto de la semana. En una audiencia en el Congreso de EE.UU., el senador por North Carolina Thom Tillis mostró este libro, material memético para hackers:
Por último, ayer, jueves 2 de mayo, fue el “Día mundial de la contraseña”. Diversas empresa de ciberseguridad como Check Point, Kaspersky, Fortinet, ESET y otras mandaron comunicados de prensa repasando el estado de la cuestión de una práctica que, para muchos, ya está muerta. Pero que no por eso todavía nos pudimos sacar de encima.
AVISO IMPORTANTE: me tomo vacaciones. Las próximas tres entregas de Dark News van a estar programadas, con lo cual no van a tocar temas de actualidad, pero sí actuales. Fui guardando contenidos durante el año para poder mantener la continuidad del proyecto y que salga, ininterrumpidamente, todos los viernes del año como viene sucediendo desde la primera entrega hace un año y cinco meses.
Si pasa algo grande en Argentina, recomiendo revisar el trabajo de Emilse Garzón,
(que está acá en Substack),Sebastián Davidovsky, Mariana Segulin y Rodrigo Álvarez. Ellos seguro cubran el tema. Dark News vuelve el 31 de mayo.Leer este correo te va a llevar 15 minutos.
El SSD externo Kingston XS1000 es una solución de respaldo de archivos que cuenta con velocidades de hasta 1.050MB/seg y altas capacidades de hasta 2TB, lo que proporciona una gran velocidad y espacio para almacenar los datos más valiosos. Viene con cable USB Type-C a Type-A para ofrecer una comodidad inigualable y una impresionante capacidad de almacenamiento.
👁 Alex Blania, CEO de Tools for Humanity: “No hemos hecho un buen trabajo en explicar el proyecto a los gobiernos”
─La identidad online parece un concepto simple y, sin embargo, es parte de lo que Tools of Humanity quiere implementar con Worldcoin. ¿Cómo explicarías este problema?
─Voy a empezar con ChatGPT o algún sistema de inteligencia artificial (IA) de estos nuevos que aparecieron este tiempo. Pensemos, son sistemas que pueden crear texto, video, imágenes, casi de manera perfecta. La manera en la que hablás con ChatGPT se siente como si hablaras con una persona. Y eso ya puede ocurrir en una app de mensajería, en Twitter, en Instagram, donde empezás a cruzar contenido hecho por bots, por cuentas que no son humanas. En la mayoría de los casos es probable que sea divertido, ¿no? Sin embargo, también empieza a ser un problema.
─¿Por qué?
─Porque en un momento vas a querer asegurarte si hay una persona detrás de esas interacciones que estás teniendo, si hay alguien controlando. Creo que si no tenemos una prueba de humanidad, una gran parte de internet se va a empezar a desmoronar. Se va a transformar en un lugar muy raro: vas a estar en Twitter discutiendo con alguien y va a ser una IA sin que te des cuenta. Y estamos hablando de sistemas muy poderosos que ejercen una influencia en la opinión pública. Algo que me preocupa personalmente es que una gran parte de nuestra democracia ocurre en internet, en plataformas como Twitter o X, y creo que proteger nuestra democracia es muy importante.
─¿Cómo funciona el sistema biométrico de Worldcoin?
─El gran problema que hay que resolver es que un usuario puede crear identidades múltiples. Supongamos que soy un actor malicioso y quiero influenciar la opinión pública, interferir en elecciones, etc. Puedo crear cientos de miles de cuentas en diversas plataformas y hacerlas correr por múltiples IA.
─Algo que, de hecho, sucede.
─Exacto. Y va a pasar cada vez más. El tema es que, hasta ahora, en general siempre podíamos ver si se trataba de un bot. Pero con el paso del tiempo se va a tornar cada vez más difícil hacer esa distinción y va a ser cada vez más necesario verificar, en los distintos servicios y plataformas que usamos, que uno es una persona real. Si tengo una única cuenta que verifica eso, no necesito dar datos personales como fecha de nacimiento, país, y demás: necesito validar que "soy una persona única y que estoy usando un servicio". Eso es un problema muy difícil de resolver.
─A pesar de que dispositivos como iPhone o Android ya trabajan con biometría, ustedes hacen una distinción. ¿Cuál es?
─Sí, porque FaceID lo que resuelve es que sos la misma persona que está accediendo a su teléfono. Es una comparación 1 a 1. Para resolver la prueba de que un humano es único en internet, necesitamos decir "soy único entre otra cantidad de gente". Entonces lo primero que se necesita hacer es construir un hardware personalizado para tomar una foto del ojo, que es algo que puede escalar a miles de millones de personas. Este sistema se construye sobre una blockchain, es decir, no se hace sobre un sistema centralizado sino descentralizado y por este motivo se mantiene anónimo. Estos son los fundamentos para resolver un problema de escala global.
La visita a Argentina
Blania contó que Argentina es, dentro de América Latina, un país particular, debido a que Worldcoin tiene presencia desde las etapas más prematuras de proyecto. El activo ecosistema local es para el CEO algo que jugó a favor de la empresa, que abrió oficinas esta semana en el país. "Esperamos cientos de contrataciones para los años que vienen", aseguró.
─¿Qué estás haciendo en Argentina?
─Tuvimos reuniones con los diarios y medios más influyentes, miembros del Gobierno y también empresas locales. Lo que estoy tratando de sacar de estas reuniones es una cuestión de educación sobre el proyecto, porque creo que hay aspectos que se pueden malinterpretar, además de poder tener una comprensión personal del país. Es un país que se encuentra en un gran cambio, creo que es un momento muy emocionante para Argentina y quiero entender qué está pasando con la economía y la política. Eso me va a ayudar a llevar el proyecto en el camino correcto.
─Te reuniste con asesores del Gobierno, ¿conociste al Presidente?
─No todavía, espero que pronto.
─En nuestro país hemos tenido muchos leaks el último tiempo. Ustedes están haciendo una auditoría con una empresa de ciberseguridad argentina, ¿qué me podés contar de estos "pentest" que realizan?
─Ví que la semana pasada hubo un leak de licencias de conducir en Argentina, de hecho. A ver: hay dos niveles para pensar este problema. Diseñamos el sistema de manera tal que incluso si una parte fuese comprometida, el peor escenario implicaría que no se comprometa la privacidad de nadie.
─¿Cómo?
─Nos aseguramos que todo quede separado: tu World ID está escindido de tu cuenta, que es lo que tiene tu información, y esto está probado criptográficamente -es open source-. Entonces: incluso si tenemos un problema de seguridad, la privacidad no se vería comprometida. El segundo punto es que auditamos el sistema constantemente con algunas de las mejores firmas de ciberseguridad del mundo y sí, estamos haciendo una auditoría con una empresa argentina.
─Las leyes de protección de datos son muy estrictas en Europa por las normas de GDPR. ¿Vienen a América Latina porque las leyes son más laxas?
─No, absolutamente no. Por caso, operamos en Alemania -yo soy ciudadano alemán-, que es muy estricto en cuanto a GDPR. Creo que lo que pasó en España y Portugal es que tuvimos una adopción muy rápida, muchas descargas y, debo reconocer, históricamente no hemos hecho un buen trabajo en explicar el proyecto a los gobiernos antes de que se implemente el sistema. En España hubo muchos logueos de menores de edad y eso generó problemas también.
─El ecosistema cripto es auditable y descentralizado, pero también es una opción muy usada para mover dinero en el mundo del ciberdelito -ransomware, por ejemplo- y el lavado de dinero. ¿Es otra dificultad a la hora de hablar del proyecto?
─Totalmente. Creo que muchas de las explicaciones que tenemos que hacer es que estamos construyendo sobre un firmamento cripto. En Asia, por ejemplo, es completamente opuesto: la blockchain está vista como algo positivo y que hasta los Gobiernos impulsan, en contraposición a Europa y Estados Unidos. Espero que eso cambie pero, para contestar tu pregunta, no es un problema particular que tengamos sino más bien un estigma general del ecosistema cripto.
─La inteligencia artificial permeó todas las discusiones tech del último año y medio. Es un avance, pero también se usa con fines maliciosos (deepfakes, por ejemplo). ¿Cómo piensa Worldcoin este problema?
─Creo que estamos en camino a una transición hacia la cual la IA va a ser algo como internet. Vamos a dejar de hablar de grandes compañías para hablar de IA en términos generales, como pasó con internet, que lo usamos en nuestra vida cotidiana. Creo que va a ser la aceleración más grande del progreso humano de la historia: curar enfermedades, hacer avances científicos y más. Pero como sociedad, pienso en una analogía con los autos, para los cuales necesitamos construir calles. Tenemos que ponernos al día con la infraestructura de la IA para poder usar ese progreso. Por supuesto, se puede usar para crear cosas buenas pero otros actores pueden usarla en sentido malicioso, pero creo que podemos manejarlo.
─¿A qué apunta Worldcoin en ese ecosistema?
─A construir las herramientas para ese mundo que nos ayudarán a elevar a la humanidad con IA.
─¿Cuál es el punto débil de Worldcoin?
─La falta de explicación sobre cómo es el proyecto. Hay que explicar y después implementar. Creo que por eso tuvimos problemas en algunos países y no creo que esos problemas desaparezcan del todo, nunca: le pasó a Uber y Airbnb, que enfrentaron cierres por parte de gobiernos. Es la naturaleza de un producto que crece rápidamente. Por eso me estoy juntando con gobiernos y reguladores, para adoptar el sistema sin comprometer la libertad o privacidad de los usuarios. Creo que va a ser desafiante, pero es la naturaleza de estas tecnologías.
💰 Otra multa contra Avast por violaciones a GPDR
Hablando de GDPR, La Oficina de Protección de Datos Personales (ÚOOÚ) de República Checa multó con cerca de 14.8 millones de dólares a Avast por violación de la ley de protección de datos de Europa (GDPR), luego de tras investigar a la filial checa de la empresa, Jumpshot.
Según ÚOOÚ, la empresa procesó datos personales del antivirus Avast y las extensiones del navegador en 2019 sin autorización. La compañía transfirió los datos de 100 millones de sus usuarios a Jumpshot, una empresa que se comercializaba, entre otras cosas, como proveedora de perspectivas sobre el comportamiento de los consumidores en línea a terceros.
ÚOOÚ dice que Avast engañó a los usuarios: aunque aseguraba utilizar sólidas técnicas de anonimización, al menos una parte de los interesados podían ser re-identificados.
Avast dijo a Cybernews que no está de acuerdo con la decisión del regulador. "Estamos evaluando nuestros próximos pasos, incluyendo nuevas acciones judiciales. Avast reafirma su compromiso de mantener a salvo los datos de sus clientes”, explicaron.
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
🪪 El leaker de las licencias de conducir ahora las vende con un bot
El usuario que puso a la venta un archivo con 5.7 millones de archivos con imágenes de licencias de conducir argentinas habilitó un bot para comprar licencias individuales por 3 mil pesos.
El leaker había provocado, a mediados del mes pasado, al mundo de la política: había subido una muestra donde se podían ver los permisos para manejar de famosos, entre ellos, el Presidente de la Nación, Javier Milei, y varios funcionarios como Patricia Bullrich.
Esta semana armó un bot mediante el cual, en una popular aplicación de chat, se podía introducir un documento y tener una licencia como muestra gratis. Todo esto siempre que la licencia estuviera disponible en el set que extrajo de Mi Argentina. Por este motivo, muchos no pudieron obtener la “muestra gratis”, pero otros usuarios comentaron en redes sociales que sí encontraron su licencia.
Algo muy llamativo que sucedió fue que el medio de comunicación Infobae publicó un instructivo sobre cómo funcionaba el bot, con un ejemplo de descarga tomando a la ministra de Seguridad, Patricia Bullrich, como ejemplo. Esto constituye el delito de difusión de información robada al Estado.
Dark News supo que esta publicación del medio llegó la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI). Luego de que circulara por redes, el contenido fue despublicado pero la nota quedó online.
A mediados de semana, el bot fue dado de baja pero el leaker lo volvió a poner en circulación.
📰 Ransomware contra el diario La Nación
El equipo de tecnología del diario La Nación detectó un cibertaque contra sus sistemas durante el jueves de la semana pasada. Según publicó el propio medio, afectó a servicios puntuales como la sección de avisos fúnebres y la atención a suscriptores, pero la actualización del sitio web y el funcionamiento del canal LN+ se pudo mantener online.
La Nación explicó que “activó los protocolos de seguridad correspondientes para estos incidentes”: “Tras detectar una actividad inusual en los servidores de la compañía, se identificó el alcance del incidente, que dejó fuera de servicio a una parte de los sistemas internos. De forma inmediata, se implementó un plan de contingencia junto a un equipo de especialistas en ciberseguridad”, publicó primero en un comunicado en la edición impresa del jueves, y luego en su web online.
Fuentes del medio aseguraron a Dark News que se trató de un ciberataque de ransomware. Y que se trataría de una cepa commodity, aunque esto no pude confirmarlo.
Por último, La Nación aseguró que que llevará el caso a la Justicia: “Mientras se restablecen de forma segura los servicios afectados y se monitorea el estado de situación de la red e infraestructura, LA NACIÓN realizará la denuncia penal ante la Justicia para que se investiguen las responsabilidades”.
Telecom ofrece servicios de Firewall para Empresas y Pymes, orientados a resolver las principales necesidades de seguridad dentro de una red.
🔗 Más info
Un ataque afectó el servicio de una cadena de farmacias canadiense
Google rechazó 2,28 millones de de aplicaciones potencialmente maliciosas en su Play Store
Zscaler publica un reporte sobre black hat SEO y distribución de malware
Dropbox reportó un acceso a sus sistemas ante la SEC: “Se comprometieron passwords”
Valorant está tomando screenshots de la PC de los usuarios (incluso Discord) sin avisar